Google komt met update voor kritieke kwetsbaarheid in Chrome

[Captain Kirk]

Google heeft een nieuwe versie van Chrome uitgebracht die 37 kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek waarmee aanvallers kwetsbare systemen kunnen overnemen. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome.

Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker of een tweede kwetsbaarheid vereist. Vorig jaar werden er in totaal vier kritieke kwetsbaarheden door externe onderzoekers in Chrome gevonden en aan Google gerapporteerd. Het jaar daarvoor waren het er drie en in 2019 ging het om een zelfde aantal.

In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details over het lek, aangeduid als CVE-2022-0096, worden pas na zestig dagen openbaar gemaakt. De kwetsbaarheid bevindt zich in het deel van de browser gebruikt voor dataopslag en maakt een use after free mogelijk, waardoor een aanvaller zijn code op het systeem van gebruikers kan uitvoeren.

Onderzoeker Yangkang van securitybedrijf 360 meldde het probleem op 30 november vorig jaar bij Google. Welke beloning de onderzoeker voor zijn melding krijgt is nog niet bekend. Updaten naar Chrome 97.0.4692.71 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren.

 

bron: https://www.security.nl